16
Zyxel USG 300 - 2 Netze - miese Transferraten
Hallo Leute,
ich hoffe man kann mir bei meinem Problem helfen.
Ich habe hier eine Zyxel USG 300 welche derzeit 2 Netze verbindet und beiden den Internetzugang bereitstellt.
Port 1 - 192.168.1.0/24 Zone: LAN
Port 4 - 192.168.2.0/24 Zone: LAN
Port 7 - WAN-IP Zone: WAN
Da, m.M.n. bei diesen Geräten kein Routing nötig ist wenn beide Subnetze in der gleichen Zone sind habe ich auch keine Route eingetragen. Die Geräte in den Netze sind untereinander auch pingbar. Jedoch habe ich beim kopieren von Netz 1 nach Netz 2 extrem schlechte Transferraten (2-3MByte/sec.). Kopieren im Netz 1 selbst geht mit ca. 70MByte/s und in Netz 2 mit mehr als 100 MByte/s. Nur Netzübergreifend isses total beschn
Hat jemand eine Idee?
ALLE Geräte hängen an einem dicken HP Switch ohne VLANs oder dgl.
Netz 2 ist vollständig virtuell (ESXi5 Cluster aus 2 Servern mit je 3 LAN Karten an einem virtuellen Switch)
Wenn ihr noch Infos braucht, sagt Bescheid.
Danke Thomas
ich hoffe man kann mir bei meinem Problem helfen.
Ich habe hier eine Zyxel USG 300 welche derzeit 2 Netze verbindet und beiden den Internetzugang bereitstellt.
Port 1 - 192.168.1.0/24 Zone: LAN
Port 4 - 192.168.2.0/24 Zone: LAN
Port 7 - WAN-IP Zone: WAN
Da, m.M.n. bei diesen Geräten kein Routing nötig ist wenn beide Subnetze in der gleichen Zone sind habe ich auch keine Route eingetragen. Die Geräte in den Netze sind untereinander auch pingbar. Jedoch habe ich beim kopieren von Netz 1 nach Netz 2 extrem schlechte Transferraten (2-3MByte/sec.). Kopieren im Netz 1 selbst geht mit ca. 70MByte/s und in Netz 2 mit mehr als 100 MByte/s. Nur Netzübergreifend isses total beschn
Hat jemand eine Idee?
ALLE Geräte hängen an einem dicken HP Switch ohne VLANs oder dgl.
Netz 2 ist vollständig virtuell (ESXi5 Cluster aus 2 Servern mit je 3 LAN Karten an einem virtuellen Switch)
Wenn ihr noch Infos braucht, sagt Bescheid.
Danke Thomas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 186278
Url: https://administrator.de/contentid/186278
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
16 Kommentare
Neuester Kommentar
Das ist Unsinn ! Wenn du zwischen 2 unterschiedlichen IP Netzen kommunizieren musst, musst du immer ein Layer 3 Routing machen. Ohne das ist eine Verbindung gar nicht möglich oder wie meinst du sollte das deiner Meinung nach dann funktionieren ??
Vermutlich hast du das OSI Schichtenmodell da generell nicht verstanden oder es ist dir unbekannt...?!
Eine Route brauchst du an den Endgeräten logischerweise nicht wenn die FW beide Netze lokale hat und die Endgeräte die FW in ihrem jeweiligen Subnetz als Gateway eingetragen haben.
Statische Routen sind da überflüssig...wozu auch, denn die Netze sind an der FW ja direkt dran und sie findet sie so ohne Route !
Sieht wohl so aus das die FW einen miesen Paket Throughput hat im Routing. Nicht weiter verwunderlich bei Consumer Systemen.
Das es lokal schnell geht ist logisch, denn da ist die FW ja gar nicht involviert, das geht zwischen den Endgeräten direkt. Dieser Einwand ist also mehr oder weniger sinnfrei bezogen aufs Thema.
Ein weiteres Problem hast du auch zusätzlich, denn du vergleichst Äpfel mit Birnen.
Wenn du von einem virtuellen Host was kopierst hast du weitere Komponenten die deinen Durchsatz beeinflussen wie den virtuellen Switch der in Software rennt und auch die virtuelle NIC...auch Software. Von anderen Komponenten mal nicht zu reden...
Deren Durchsatz hängt also in erheblichem Maße von der ESX Performance ab. Hat der zu tun mit "servern" gehen die Durchsatzraten dieser Softwareswitches in die Knie..
Wenn dann, miss erstmal den direkten Durchsatz der Firewall mit Clients die direkt und ohne Virtualisierung an der FW dran sind.
Sinnvollerweise verwendet man dazu ein Tool was das direkt misst wie NetIO:
http://www.ars.de/ars/ars.nsf/docs/netio
bzw.
http://www.nwlab.net/art/netio/netio.html
und nicht ein uneffizientes File Protokoll wie SMB/CIFS was du vermutlich machst.
Tunlichst wiederholt man das mal mit einer Rücken zu Rücken Verbindung von NIC zu NIC mit einem Crossover ohne Switch um die reine Geräte Performance zu messen.
Nur so bekommt man doch erstmal einen verlässlichen Referenzwert oder Referenzwerte der Netzperformance über die FW mit dem man vergleichen kann um eine sinnvolle Aussage zu machen.
Was du machst ist schlicht raten, spekulieren... oder Kaffeesatz lesen, sorry. Nicht wirklich hilfreich in der IT wie jeder Netzwerker weiss
Vermutlich hast du das OSI Schichtenmodell da generell nicht verstanden oder es ist dir unbekannt...?!
Eine Route brauchst du an den Endgeräten logischerweise nicht wenn die FW beide Netze lokale hat und die Endgeräte die FW in ihrem jeweiligen Subnetz als Gateway eingetragen haben.
Statische Routen sind da überflüssig...wozu auch, denn die Netze sind an der FW ja direkt dran und sie findet sie so ohne Route !
Sieht wohl so aus das die FW einen miesen Paket Throughput hat im Routing. Nicht weiter verwunderlich bei Consumer Systemen.
Das es lokal schnell geht ist logisch, denn da ist die FW ja gar nicht involviert, das geht zwischen den Endgeräten direkt. Dieser Einwand ist also mehr oder weniger sinnfrei bezogen aufs Thema.
Ein weiteres Problem hast du auch zusätzlich, denn du vergleichst Äpfel mit Birnen.
Wenn du von einem virtuellen Host was kopierst hast du weitere Komponenten die deinen Durchsatz beeinflussen wie den virtuellen Switch der in Software rennt und auch die virtuelle NIC...auch Software. Von anderen Komponenten mal nicht zu reden...
Deren Durchsatz hängt also in erheblichem Maße von der ESX Performance ab. Hat der zu tun mit "servern" gehen die Durchsatzraten dieser Softwareswitches in die Knie..
Wenn dann, miss erstmal den direkten Durchsatz der Firewall mit Clients die direkt und ohne Virtualisierung an der FW dran sind.
Sinnvollerweise verwendet man dazu ein Tool was das direkt misst wie NetIO:
http://www.ars.de/ars/ars.nsf/docs/netio
bzw.
http://www.nwlab.net/art/netio/netio.html
und nicht ein uneffizientes File Protokoll wie SMB/CIFS was du vermutlich machst.
Tunlichst wiederholt man das mal mit einer Rücken zu Rücken Verbindung von NIC zu NIC mit einem Crossover ohne Switch um die reine Geräte Performance zu messen.
Nur so bekommt man doch erstmal einen verlässlichen Referenzwert oder Referenzwerte der Netzperformance über die FW mit dem man vergleichen kann um eine sinnvolle Aussage zu machen.
Was du machst ist schlicht raten, spekulieren... oder Kaffeesatz lesen, sorry. Nicht wirklich hilfreich in der IT wie jeder Netzwerker weiss
Wenns das jetzt war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Zitat von @aqui:
Wenns das jetzt war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wenns das jetzt war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Ich hoffe noch auf weitere Antworten.
Ich habe bislang nicht so sehr viel mit Routing und unterschiedlichen Netzen zu tun gehabt. Wenn ich das alles wüsste, würde ich nicht fragen. Ich dachte dafür ist ein Forum?!
Ob die FW nun ein Consumer Gerät ist oder nicht spielt hierbei auch erstmal keine Rolle, die Dinger kosten ne Menge Geld und können soo schlecht ja nun auch nicht sein. Steht nicht Cisco drauf aber im öffentlichen Sektor bekommt meist das billigste Produkt den Zuschlag, hab ich mir nicht ausgesucht ist aber leider so. Aber wieder zum Thema.
Dass der Flaschenhals der virtuelle Switch ist würde ich erstmal ausschließen, ich habe in diesem Netz auch "harte" Maschinen und zu denen ist die Transferrate super. Es hängt wirklich nur wenns über die FW geht. Consumergerät hin oder her, wenn es wirklich das Gerät sein soll bin ich echt enttäuscht von dem Ding.
Th.
Wie wäre es denn, ersteinmal auf die bereits erhaltenen Antworten einzugehen? Siehe http://zyxelforum.de/viewtopic.php?f=52&t=3512&sid=ab072edeee80 ...
Im Übrigen sei erwähnt, dass das nahezu _zeitgleiche_ Einstellen einer Frage in verschiedenen Foren ein grober Verstoß gegen die Nettiquette ist (ich habe mir deshalb auch bislang eine Antwort auf Deine Frage verkniffen). Es ist nämlich sehr ärgerlich für den Helfenden, wenn er in einem Forum auf die Frage antwortet und später in einem anderen Forum festellt, dass das Problem dort bereits gelöst wurde! Geh mal davon aus, dass diejenigen, die versiert genug sind, anderer Leute Probleme zu lösen, nicht nur auf einer Plattform unterwegs sind...
zudem sollte er endlich mal aufhören zu raten und zu spekulieren, den NetIO an die Hand nehmen und messen !!
Dann können wir auch sinnvoll und zielgerichtet weiterhelfen wenn wir mal verlässliche Zahlen haben.
Wie ein Kaninchen davorzustehen und fröhlich zu raten löst das Problem nicht !!
Egal ob Cisco, Juniper oder Zywallbillich oder Taiwanbillich auf dem Teil steht...das ist in der Tat (fast) egal...wenigstens auf das Problem bezogen des Messens.
Fas die Paket Forwarding Rate anbetrifft schon...da ist davon auszugehen das Billigheimer Zywall da nicht mithalten kann.
Solch miese Werte wie oben sind aber auch nichtmal bei Zyxel normal !
Dann können wir auch sinnvoll und zielgerichtet weiterhelfen wenn wir mal verlässliche Zahlen haben.
Wie ein Kaninchen davorzustehen und fröhlich zu raten löst das Problem nicht !!
Egal ob Cisco, Juniper oder Zywallbillich oder Taiwanbillich auf dem Teil steht...das ist in der Tat (fast) egal...wenigstens auf das Problem bezogen des Messens.
Fas die Paket Forwarding Rate anbetrifft schon...da ist davon auszugehen das Billigheimer Zywall da nicht mithalten kann.
Solch miese Werte wie oben sind aber auch nichtmal bei Zyxel normal !
Hallo,
hier die Messung mit netio:
D:\netio\bin>win32-i386.exe -t 192.168.200.7
NETIO - Network Throughput Benchmark, Version 1.31
(C) 1997-2010 Kai Uwe Rommel
TCP connection established.
Packet size 1k bytes: 2731.22 KByte/s Tx, 2635.17 KByte/s Rx.
Packet size 2k bytes: 2805.58 KByte/s Tx, 2657.34 KByte/s Rx.
Packet size 4k bytes: 3301.87 KByte/s Tx, 3494.27 KByte/s Rx.
Packet size 8k bytes: 3270.67 KByte/s Tx, 3419.60 KByte/s Rx.
Packet size 16k bytes: 3451.23 KByte/s Tx, 3295.78 KByte/s Rx.
Packet size 32k bytes: 3077.24 KByte/s Tx, 2984.06 KByte/s Rx.
Done.
D:\netio\bin>
Th.
hier die Messung mit netio:
D:\netio\bin>win32-i386.exe -t 192.168.200.7
NETIO - Network Throughput Benchmark, Version 1.31
(C) 1997-2010 Kai Uwe Rommel
TCP connection established.
Packet size 1k bytes: 2731.22 KByte/s Tx, 2635.17 KByte/s Rx.
Packet size 2k bytes: 2805.58 KByte/s Tx, 2657.34 KByte/s Rx.
Packet size 4k bytes: 3301.87 KByte/s Tx, 3494.27 KByte/s Rx.
Packet size 8k bytes: 3270.67 KByte/s Tx, 3419.60 KByte/s Rx.
Packet size 16k bytes: 3451.23 KByte/s Tx, 3295.78 KByte/s Rx.
Packet size 32k bytes: 3077.24 KByte/s Tx, 2984.06 KByte/s Rx.
Done.
D:\netio\bin>
Th.
Enstpräche einem durchschnittlichen Paket Durchsatz von 25-26 Mbit/s.
Das ist mies und mickrig wenn das jetzt über die Firewall geht und die 100 Mbit/s Fast Ethernet Ports hat
Schliesse den Client mal direkt an in das VLAN oder LAN Segment wo der Server ist und wiederhole diese Messung nochmal.
Damit haben wir dann einen Vergleichswert was OHNE Router/Firewall dazwischen möglich wäre mit gleichen bedingungen !!
(P.S.: Du kannst die win32-i386.exe in netio.exe umbenennen, dann hast du nicht so einen kryptischen Dateinamen !)
Das ist mies und mickrig wenn das jetzt über die Firewall geht und die 100 Mbit/s Fast Ethernet Ports hat
Schliesse den Client mal direkt an in das VLAN oder LAN Segment wo der Server ist und wiederhole diese Messung nochmal.
Damit haben wir dann einen Vergleichswert was OHNE Router/Firewall dazwischen möglich wäre mit gleichen bedingungen !!
(P.S.: Du kannst die win32-i386.exe in netio.exe umbenennen, dann hast du nicht so einen kryptischen Dateinamen !)
Hallo,
hier jetzt von einem Rechner im selben Netz wie der Server:
D:\netio\bin>win32-i386.exe -t 192.168.200.7
NETIO - Network Throughput Benchmark, Version 1.31
(C) 1997-2010 Kai Uwe Rommel
TCP connection established.
Packet size 1k bytes: 103.53 MByte/s Tx, 109.98 MByte/s Rx.
Packet size 2k bytes: 107.93 MByte/s Tx, 101.01 MByte/s Rx.
Packet size 4k bytes: 112.77 MByte/s Tx, 112.35 MByte/s Rx.
Packet size 8k bytes: 112.80 MByte/s Tx, 112.20 MByte/s Rx.
Packet size 16k bytes: 112.65 MByte/s Tx, 111.83 MByte/s Rx.
Packet size 32k bytes: 112.77 MByte/s Tx, 112.27 MByte/s Rx.
Done.
D:\netio\bin>
Das sieht nach Gigabit Lan aus. Die FW hat 7 Gigabit Ports.
Th.
hier jetzt von einem Rechner im selben Netz wie der Server:
D:\netio\bin>win32-i386.exe -t 192.168.200.7
NETIO - Network Throughput Benchmark, Version 1.31
(C) 1997-2010 Kai Uwe Rommel
TCP connection established.
Packet size 1k bytes: 103.53 MByte/s Tx, 109.98 MByte/s Rx.
Packet size 2k bytes: 107.93 MByte/s Tx, 101.01 MByte/s Rx.
Packet size 4k bytes: 112.77 MByte/s Tx, 112.35 MByte/s Rx.
Packet size 8k bytes: 112.80 MByte/s Tx, 112.20 MByte/s Rx.
Packet size 16k bytes: 112.65 MByte/s Tx, 111.83 MByte/s Rx.
Packet size 32k bytes: 112.77 MByte/s Tx, 112.27 MByte/s Rx.
Done.
D:\netio\bin>
Das sieht nach Gigabit Lan aus. Die FW hat 7 Gigabit Ports.
Th.
Ja, das spricht Bände !!
Das sind im Durchschnitt ~895-900 Mbit/s damit ein sehr sehr guter Wert für Gigabit was auf gute Server und NICs hinweist.
Ist das Back to Back also Rücken an Rücken zw. Server und PC gemessen oder ist ein Switch dazuwischen ??
Wenn es letzteres ist kannst du also die Infrastruktur ganz sicher ausschliessen, denn damit hast du quasi "Wirespeed" im Gigabit Netz !
Der böse Buhmann ist also ganz klar die Firewall !
Da musst du nun rausbekommen ob das eine fehlerhafte Konfiguration ist oder ob die tatsächlich nicht mehr bringt. Wäre bei Zyxel nicht weiter verwunderlich...
25 Mbit/s wäre aber wie gesagt auch ein drastisch mieser Wert für eine Firewall mit Gigabit Interfaces !
Dein Troubleshooting solltest du also ganz klar einzig auf die FW konzentrieren !
Ohne eine Konfig oder Konfig Auszug werden wir hier aber nicht weiterkommen...
P.S.: Was meintest du mit der Äußerung "Das sieht nach Gigabit Lan aus" ?? Wieso "sieht aus" ?? Kennst du deine eigene Netzwerk Infrastruktur etwa nicht ??!
Das sind im Durchschnitt ~895-900 Mbit/s damit ein sehr sehr guter Wert für Gigabit was auf gute Server und NICs hinweist.
Ist das Back to Back also Rücken an Rücken zw. Server und PC gemessen oder ist ein Switch dazuwischen ??
Wenn es letzteres ist kannst du also die Infrastruktur ganz sicher ausschliessen, denn damit hast du quasi "Wirespeed" im Gigabit Netz !
Der böse Buhmann ist also ganz klar die Firewall !
Da musst du nun rausbekommen ob das eine fehlerhafte Konfiguration ist oder ob die tatsächlich nicht mehr bringt. Wäre bei Zyxel nicht weiter verwunderlich...
25 Mbit/s wäre aber wie gesagt auch ein drastisch mieser Wert für eine Firewall mit Gigabit Interfaces !
Dein Troubleshooting solltest du also ganz klar einzig auf die FW konzentrieren !
Ohne eine Konfig oder Konfig Auszug werden wir hier aber nicht weiterkommen...
P.S.: Was meintest du mit der Äußerung "Das sieht nach Gigabit Lan aus" ?? Wieso "sieht aus" ?? Kennst du deine eigene Netzwerk Infrastruktur etwa nicht ??!
Zitat von @aqui:
P.S.: Was meintest du mit der Äußerung "Das sieht nach Gigabit Lan aus" ?? Wieso "sieht aus" ??
Kennst du deine eigene Netzwerk Infrastruktur etwa nicht ??!
Klar kenne ich die Infrastruktur. Ist Gigabit. Ich hab das in Bezug auf die gemessenen Transferraten gesagt P.S.: Was meintest du mit der Äußerung "Das sieht nach Gigabit Lan aus" ?? Wieso "sieht aus" ??
Kennst du deine eigene Netzwerk Infrastruktur etwa nicht ??!
Bei der Messung war ein Switch dazwischen und die Maschinen waren eine VM und eine harte Kiste.
Ich hab hier noch eine weitere von den Dingern, die sollen mal als Active/Passiv Cluster laufen. Hab damit mal getestet indem ich einen Rechner aus dem einen und einen aus dem anderen Netz direkt drangehängt hab. Da waren die Raten etwas besser ~ 30MB/s ... auch nicht der Kracher aber immerhin.
Die Config kann ich hier ja kaum posten, das sind etwas über 1000 Zeilen. Gern aber Auszüge, wenn du mir sagst was du brauchst.
Ich habe auch noch einen anderen Fehler an dem Teil festgestellt: Die IP von einem LAN Port wird nach einem Neustart des Gerätes auf 0.0.0.0 gesetzt. Vielleicht sollte ich nochmal alles resetten ... und alle VPNs neu einrichten ....
Th.
Liest Du auch irgendwann, was Dir im Zyxelforum geantwortet wird?
Dort wurde doch schon von Anfang an der Finger in die Wunde gelegt!
Liegt im oberen Bereich dessen, was man von der Büchse erwarten kann.
Siehe http://www.studerus.ch/knowledgebase/2254.html
Mit ZLD3.0 und Deaktivieren von BWM, IDP, ADP, AV und CF sollte der systhetische NetIO-Wert sogar zwischen 50 und 65MB/s liegen. Jedenfalls waren das meine Testwerte für eine USG200 mit der Beta zu ZLD3.0.
Leider sind ja sowohl Deine Settings als auch der Firmwarestand ein Staatsgeheimnis.
Dort wurde doch schon von Anfang an der Finger in die Wunde gelegt!
Zitat von @thomash.:
Ich hab hier noch eine weitere von den Dingern, die sollen mal als
Active/Passiv Cluster laufen. Hab damit mal getestet indem ich
einen Rechner aus dem einen und einen aus dem anderen Netz direkt
drangehängt hab. Da waren die Raten etwas besser ~ 30MB/s
... auch nicht der Kracher aber immerhin.
Ich hab hier noch eine weitere von den Dingern, die sollen mal als
Active/Passiv Cluster laufen. Hab damit mal getestet indem ich
einen Rechner aus dem einen und einen aus dem anderen Netz direkt
drangehängt hab. Da waren die Raten etwas besser ~ 30MB/s
... auch nicht der Kracher aber immerhin.
Liegt im oberen Bereich dessen, was man von der Büchse erwarten kann.
Siehe http://www.studerus.ch/knowledgebase/2254.html
Mit ZLD3.0 und Deaktivieren von BWM, IDP, ADP, AV und CF sollte der systhetische NetIO-Wert sogar zwischen 50 und 65MB/s liegen. Jedenfalls waren das meine Testwerte für eine USG200 mit der Beta zu ZLD3.0.
Leider sind ja sowohl Deine Settings als auch der Firmwarestand ein Staatsgeheimnis.
Hallo,
ja ich lese und antworte auch im Zyxelforum.
Die Firmware ist 3.00(AQE.0)
Die Settings sind kein Staatsgeheimnis ... ich hatte oben geschrieben das ich gern poste was wichtig ist. Es sind über 1000 Zeilen in der Config, soll ich die alle einstellen?
Th.
ja ich lese und antworte auch im Zyxelforum.
Die Firmware ist 3.00(AQE.0)
Die Settings sind kein Staatsgeheimnis ... ich hatte oben geschrieben das ich gern poste was wichtig ist. Es sind über 1000 Zeilen in der Config, soll ich die alle einstellen?
Th.
Problem weitgehend geklärt.
Mehr Infos hier: http://www.zyxelforum.de/viewtopic.php?f=52&t=3512&start=8
Danke
Th.
Mehr Infos hier: http://www.zyxelforum.de/viewtopic.php?f=52&t=3512&start=8
Danke
Th.
Verglichen mit Gigabit ja aber immer noch ein relativ mieser Durchsatz...!
Hi,
ja das ist immer noch recht mies, aber irgendwann ist das ja hinfällig. Dann ist das Teil nur reines Internetgateway und VPN Endstelle, da reicht der Durchsatz dann ja wieder.
Spricht etwas dagegen einen "Transferrechner" aufzusetzen mit 2 Lan-Karten, eine in jedem VLAN und über diesen die Daten zwischen den Netzen zu transferieren? Oder baut man sich damit auch wieder einen LOOP?
Th.
ja das ist immer noch recht mies, aber irgendwann ist das ja hinfällig. Dann ist das Teil nur reines Internetgateway und VPN Endstelle, da reicht der Durchsatz dann ja wieder.
Spricht etwas dagegen einen "Transferrechner" aufzusetzen mit 2 Lan-Karten, eine in jedem VLAN und über diesen die Daten zwischen den Netzen zu transferieren? Oder baut man sich damit auch wieder einen LOOP?
Th.
Nein, da spricht natürlich nix dagegen !
Warum denn einen Rechner ?? Nimm einen kleinen 40 Euro Gigabit Router wie den Mikrotik 750G
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Damit ist das noch eleganter und effizienter lösbar.
Warum denn einen Rechner ?? Nimm einen kleinen 40 Euro Gigabit Router wie den Mikrotik 750G
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Damit ist das noch eleganter und effizienter lösbar.
